[Cortex XDR/XSIAM]端末のロケーションに基づいてHost Firewallポリシーを動的に割り当てる

組織の場合、本社・事業所・工場・海外拠点など、リモートワークの場合自宅の環境・公衆Wi-Fiであったり、

様々なネットワークが存在します。場所によってルールの強度を変えたいときに、Host Firewall機能の

・端末情報を用いたポリシー適用の条件の設定

・名前解決によるロケーションチェックの機能

用いることで、それぞれロケーションに合わせてHost Firewall ポリシーへ動的に変更することが可能です。

この記事では例を挙げて、Host Firewallポリシーを動的に割り当てる方法について説明します。

Host Firewallの概要を理解するにはこちらを参照ください。

端末情報を用いた条件設定でポリシーを動的に割り当て

端末のIPアドレスを条件に指定する

端末のIPアドレスをポリシーの適用条件に用いることで、ポリシーを動的に変更します。

例えば以下のスクリーンショットのように拠点AのIPレンジがX.X.X.X、拠点BのIPレンジがY.Y.Y.Yの場合といったように、

拠点毎のポリシーを作成しておきます。

（以下のスクリーンショットの青枠のところ）

端末はそれぞれの拠点のネットワークに接続した時に、割り当てられたIPアドレスが評価され、拠点毎のポリシーが適用されます。

どのIPレンジにも含まれないIPアドレスが割り当てられた場合、一番最後に適用されるWindows Defaultというポリシーが適用されます。

「社内のIPアドレスレンジ以外のアドレスが割り当てられた場合」という条件にして社外ルールを作成することも

アイデアの１つとしてあると思います。

（以下のスクリーンショットのオレンジ枠のところ）

一方、社外ネットワークを表現する場合、

「Not In Range」という演算子を使って社内ネットワークのIPアドレスの範囲で定義し、

端末のIPアドレスを評価するようにします。

指定したホストの名前解決を用いて内部・外部ネットワークを判定しFWルールを動的に割り当て

この方法はAgent SettingsにあるNetwork Location Configurationという機能を用います。

社内ネットワークにいる場合、内側からしかアクセスできないシステムなどがあると思います。

そのシステムの名前解決ができることを根拠にして内部ネットワークに位置する、

という判断をするのがこの機能の役割です。

反対に名前解決できなければ外部ネットワークに位置すると判断されます。

内部ネットワークと判断されると、Host Firewallプロファイル内のInternal Rule Groupsで定義したFirewallルールが適用されます。外部ネットワークと判断されると、Host Firewallプロファイル内のExternal Rule Groupsで定義したFirewallルールが適用されます。

つまり、会社の外にいると社外用のFWルールが、社内にいると社内用のFWルールを適用する、

といった運用ができるようになります。

例えば、以下のようにHost Firewallプロファイル内でInternal Rule Groups(ルールなし)とExternal Rule Groups(外用のルールあり)が構成されており、

Network Location Configurationにと或るホストとIPアドレスを定義するとします。

端末側において、設定したホストの名前解決ができている場合、

内部ネットワーク用のルール(Internal Rule Groups)が適用され、管理コンソールで以下のようなメッセージが表示されます。

一方、名前解決ができない場合、

外部ネットワーク用のルール(External Rule Groups)が適用され、管理コンソールで以下のようなメッセージが表示されます。

このように社内・社外でルールを分けて適用したい場合、Cortex XDRは２つの方法を持っています。

運用環境に合わせてこれらの機能を活用いただければと思います。

Tech Doc

Network Location Configurationの詳細はこちら